一种零信任理念下的应用融合方案转让专利
申请号 : CN202011625802.3
文献号 : CN112788019B
文献日 : 2023-04-07
发明人 : 李春林 , 金宏洲 , 程亮
申请人 : 杭州天谷信息科技有限公司
摘要 :
本发明公开了一种零信任理念下的应用融合方案,包括以下步骤:鉴权流程,通过零信任网关对流经的所有http流量检查cookie,判断cookie中有没有middle‑session字段存在,并进行验证判断middle‑session凭证是否合法,登录流程,鉴权流程确定凭证合法后,用户提交用户密码与IAM中的账密,通过零信任网关进行比对校验。本发明中实现对零信任网关中流经的所有http流量进行检查验证,并实现对用户密码与IAM中的账密进行对比验证,同时实现以页面元素即服务的思想,完成新单页应用的创建,在这个新的单页应用中,用户可以一次登录,实现在所有iframe区域的登录态赋予,并进行平滑操作,大大降低应用的定制化开发成本,避免重复多头开发。
权利要求 :
1.一种零信任理念下的应用融合方案,其特征在于,包括以下步骤:
S1:鉴权流程,通过零信任网关对流经的所有http流量检查cookie,判断cookie中有没有middle‑session字段存在,并进行验证判断middle‑session凭证是否合法;
S2:登录流程,鉴权流程确定凭证合法后,用户提交用户密码与IAM中的账密,通过零信任网关进行比对校验;
S3:登出流程,零信任网关在收到劫持的登出请求后,把缓存中middle‑session清除并重定向到登录页面;
还包括融合流程,所述融合流程具体包括以下步骤:
S4.1:模板化生成一个空的主dom‑tree;
S4.2:通过Xpath提取各自应用的html中的div\table\form,作为一个基本元素,S4.3:将提取的基本元素以iframe的形式挂载到主dom‑tree中;
所述步骤S1中,零信任网关对流经的所有http流量检查cookie,判断有没有middle‑session字段存在,当没有middle‑session字段存在时,表示凭证非法,则重定向到登录页面;
所述步骤S1中验证判断middle‑session凭证是否合法具体方法为取出cookie中的middle‑session的值在缓存中进行对比检索分析。
2.根据权利要求1所述的一种零信任理念下的应用融合方案,其特征在于,当缓存中检索到与middle‑session的值相对应值时表示凭证合法,则通过并记录。
3.根据权利要求1所述的一种零信任理念下的应用融合方案,其特征在于,当缓存中没有检索到与middle‑session的值相对应值时表示凭证非法,则重定向到登录页面。
4.根据权利要求1所述的一种零信任理念下的应用融合方案,其特征在于,所述步骤S2中通过零信任网关进行比对校验,当校验通过则根据应用对应配置的鉴权算法,生成对应应用的访问凭证,并通过set‑cookie返回给浏览器,并生成一个新的middle‑session储存在缓存中。
说明书 :
一种零信任理念下的应用融合方案
技术领域
[0001] 本发明涉及应用融合技术领域,尤其涉及一种零信任理念下的应用融合方案。
背景技术
[0002] 零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统终端安全、链路安全和访问控制安全。
[0003] 随着中国企业的信息与数字化进程的加速,越来越多的内部应用与系统被开发出来,这些内部应用由不同的部门基于不同的需求背景开发,开发的时间点也不尽相同,存在一系列的代差,使用的账号体系分散琐碎,维护成本高Gartner统计的企业办公&应用管理场景数据,企业内部亟需防护中心化、以人和认证为核心,动态自适应的快速响应体系。
发明内容
[0004] 本发明的目的在于提供一种零信任理念下的应用融合方案,以解决上述现有技术中的不足之处。
[0005] 为了实现上述目的,本发明采用了如下技术方案:一种零信任理念下的应用融合方案,包括以下步骤:
[0006] S1:鉴权流程,通过零信任网关对流经的所有http流量检查cookie,判断cookie中有没有middle‑session字段存在,并进行验证判断middle‑session凭证是否合法;
[0007] S2:登录流程,鉴权流程确定凭证合法后,用户提交用户密码与IAM中的账密,通过零信任网关进行比对校验;
[0008] S3:登出流程,零信任网关在收到劫持的登出请求后,把缓存中middle‑session清除并重定向到登录页面。
[0009] 作为上述技术方案的进一步描述:
[0010] 所述步骤S1中,零信任网关对流经的所有http流量检查cookie,判断有没有middle‑session字段存在,当没有middle‑session字段存在时,表示凭证非法,则重定向到登录页面。
[0011] 作为上述技术方案的进一步描述:
[0012] 所述步骤S1中验证判断middle‑session凭证是否合法具体方法为取出cookie中的middle‑session的值在缓存中进行对比检索分析。
[0013] 作为上述技术方案的进一步描述:
[0014] 当缓存中检索到与middle‑session的值相对应值时表示凭证合法,则通过并记录。
[0015] 作为上述技术方案的进一步描述:
[0016] 当缓存中没有检索到与middle‑session的值相对应值时表示凭证非法,则重定向到登录页面。
[0017] 作为上述技术方案的进一步描述:
[0018] 所述步骤S2中通过零信任网关进行比对校验,当校验通过则根据应用对应配置的鉴权算法,生成对应应用的访问凭证,并通过set‑cookie返回给浏览器,并生成一个新的middle‑session储存在缓存中。
[0019] 作为上述技术方案的进一步描述:
[0020] 还包括融合流程,所述融合流程具体包括以下步骤:
[0021] S4.1:模板化生成一个空的主dom‑tree;
[0022] S4.2:通过Xpath提取各自应用的html中的div\table\form,作为一个基本元素,[0023] S4.3:将提取的基本元素以iframe的形式挂载到主dom‑tree中。
[0024] 本发明提供了一种零信任理念下的应用融合方案。具备以下有益效果:
[0025] 该零信任理念下的应用融合方案实现对零信任网关中流经的所有http流量进行检查验证,并实现对用户密码与IAM中的账密进行对比验证,同时实现以页面元素即服务的思想,完成新单页应用的创建,在这个新的单页应用中,用户可以一次登录,实现在所有iframe区域的登录态赋予,并进行平滑操作,大大降低应用的定制化开发成本,避免重复多头开发。
附图说明
[0026] 图1为本发明中鉴权流程的示意图;
[0027] 图2为本发明中登录流程的示意图;
[0028] 图3为本发明中登出流程的示意图。
具体实施方式
[0029] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
[0030] 参照图1‑3,一种零信任理念下的应用融合方案,包括以下步骤:
[0031] S1:鉴权流程,通过零信任网关对流经的所有http流量检查cookie,判断cookie中有没有middle‑session字段存在,并进行验证判断middle‑session凭证是否合法;
[0032] S2:登录流程,鉴权流程确定凭证合法后,用户提交用户密码与IAM中的账密,通过零信任网关进行比对校验;
[0033] S3:登出流程,零信任网关在收到劫持的登出请求后,把缓存中middle‑session清除并重定向到登录页面。
[0034] 步骤S1中,零信任网关对流经的所有http流量检查cookie,判断有没有middle‑session字段存在,当没有middle‑session字段存在时,表示凭证非法,则重定向到登录页面。
[0035] 步骤S1中验证判断middle‑session凭证是否合法具体方法为取出cookie中的middle‑session的值在缓存中进行对比检索分析。
[0036] 当缓存中检索到与middle‑session的值相对应值时表示凭证合法,则通过并记录;
[0037] 当缓存中没有检索到与middle‑session的值相对应值时表示凭证非法,则重定向到登录页面。
[0038] 步骤S2中通过零信任网关进行比对校验,当校验通过则根据应用对应配置的鉴权算法,生成对应应用的访问凭证,并通过set‑cookie返回给浏览器,并生成一个新的middle‑session储存在缓存中。
[0039] 还包括融合流程,所述融合流程具体包括以下步骤:
[0040] S4.1:模板化生成一个空的主dom‑tree;
[0041] S4.2:通过Xpath提取各自应用的html中的div\table\form,作为一个基本元素,其中,XPath即为XML路径语言,它是用来确定XML文档中某部分位置的语言,其中html为超文本标记语言,是一种标记语言。它包括一系列标签.通过这些标签可以将网络上的文档格式统一,使分散的Internet资源连接为一个逻辑整体。
[0042] S4.3:将提取的基本元素以iframe的形式挂载到主dom‑tree中,其中iframe是html标签。
[0043] 具体的,在鉴权流程、登录流程和登出流程中零信任网关已实现所有应用单点登录,在这个基础上,根据需要,模板化生成一个空的主dom‑tree,通过Xpath提取各自应用的html中的div\table\form,作为一个基本元素,以iframe的形式挂载到主dom‑tree中,以页面元素即服务的思想,完成新单页应用的创建,
[0044] 在这个新的单页应用中,用户可以一次登录,实现在所有iframe区域的登录态赋予,并进行平滑操作,该融合过程可以大大降低应用的定制化开发成本,避免重复多头开发。
[0045] 在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料过着特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0046] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。